MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

استغلال ثغرة Apache HTTP Server لتوزيع تعدين العملة الرقمية Linuxsys

ثغرة في Apache HTTP Server تُستغل لتوزيع تعدين العملة الرقمية Linuxsys ضمن حملة مستمرة تستهدف أنظمة لينكس وويندوز.


استغلال ثغرة Apache HTTP Server لتوزيع تعدين العملة الرقمية Linuxsys
Hackers Exploit Apache HTTP Server Flaw to Deploy Linuxsys Cryptocurrency Miner

إعداد: مايسترو نيرو - قسم الأمن السيبراني

كشف باحثون في الأمن السيبراني عن حملة جديدة تستغل ثغرة أمنية معروفة في Apache HTTP Server لإصابة الأنظمة ببرمجية تعدين العملات الرقمية المسماة Linuxsys.

الثغرة الأمنية المستغلة

الثغرة المسماة CVE-2021-41773 (درجة الخطورة 7.5 حسب معيار CVSS) هي ثغرة من نوع Path Traversal في Apache HTTP Server نسخة 2.4.49، وتسمح بتنفيذ أوامر عن بُعد.

آلية الهجوم

يقوم المهاجمون باستخدام مواقع إلكترونية شرعية مخترقة لتوزيع برمجية التعدين، مما يساعد في التخفّي وتجنب الكشف. بدأت الهجمات من عنوان IP إندونيسي، وتستخدم سكربتات شل لتحميل تعدين Linuxsys من عدة مواقع حقيقية مخترقة.

  • الاعتماد على مواقع بثقة SSL حقيقية لتجنب الشكوك.
  • تفعيل التعدين تلقائيًا عبر سكربت cron.sh عند إعادة تشغيل النظام.
  • اكتشاف ملفات تنفيذية مخصصة لنظام ويندوز على المواقع المخترقة مما يشير لاستهداف متعدد المنصات.

سجل الاستغلال السابق

سبق استغلال برمجية Linuxsys عبر ثغرات أخرى خطيرة مثل CVE-2024-36401 في GeoServer، بالإضافة إلى ثغرات في:

  • CVE-2023-22527 في Atlassian Confluence.
  • CVE-2023-34960 في Chamilo LMS.
  • CVE-2023-38646 في Metabase.
  • CVE-2024-0012 و CVE-2024-9474 في جدران حماية Palo Alto.

تنبيه: المهاجمون يعتمدون على تقنية n-day والاستضافة على خوادم مخترقة لتجنب الكشف والمراقبة.

تحليل وتوصيات

يشير تقرير VulnCheck إلى أن الحملة طويلة الأمد تستخدم تقنيات استغلال متكررة، ويُفضل اتباع الإجراءات التالية:

  • تحديث Apache HTTP Server فور صدور التصحيح الرسمي.
  • مراجعة سجلات السيرفر وفحص نشاطات cron المشبوهة.
  • عزل الخوادم الحرجة عن الإنترنت المباشر واستخدام WAF.

حملة GhostContainer على خوادم Exchange

في سياق متصل، كشفت كاسبرسكي عن حملة تستهدف مؤسسات حكومية في آسيا باستخدام باب خلفي يُدعى GhostContainer يستغل ثغرة CVE-2020-0688 في Microsoft Exchange Server لمنح المهاجمين تحكمًا كاملاً عبر أوامر مخفية في طلبات الويب.

خلاصة

الاستغلال المتزامن لعدة ثغرات ونشر برمجيات تعدين وظهور أبواب خلفية متطورة يدل على تطور استراتيجيات المهاجمين. الالتزام بالتحديثات والفحص المستمر والتقسيم الشبكي يبقى خط الدفاع الأول.

آخر تحديث: 17 يوليو 2025